Debata „Rz”: Rząd nie posłuchał uwag branży na temat cyberbezpieczeństwa

Wzięli w niej udział Piotr Mieczkowski, dyrektor zarządzający Fundacja Digital Poland, Jarosław Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji, prof. Maciej Rogalski, Uczelnia Łazarskiego oraz Grzegorz Baczewski, dyrektor Konfederacja Lewiatan

Opublikowana w drugiej połowie stycznia 2021 r. nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) skupia ostatnio uwagę. Dlaczego? – pytał gości Paweł Rożyński, redaktor „Rzeczpospolitej”.

– Ta regulacja, bardzo oczekiwana przez rynek jest bardzo ważna dla rozwoju nowoczesnych usług telekomunikacyjnych w oparciu o technologię 5G, która daje zupełnie nowe możliwości zarówno jeśli chodzi o usługi telekomunikacyjne ale także jeśli chodzi o możliwości rozwoju innych dziedzin gospodarczych i wsparcia biznesu. Jednocześnie jest to regulacja, która na wiele lat ukształtuje funkcjonowanie rynku telekomunikacyjnego. Kładziemy zręby pod to, jak będzie się on kształtował w kontekście warunków cyberbezpieczeństwa. Cyberbezpieczeństwo to cel bardzo istotny. Jest ono kluczowe i dla firm i dla społeczeństw i dla państw. Stąd projekt ten budzi zainteresowanie i jest traktowany jako jedna z kluczowych regulacji, nie tylko jeśli chodzi o ten rynek, ale w ogóle o funkcjonowanie gospodarki – mówił Grzegorz Baczewski, dyrektor w Konfederacji Lewiatan.

Piotr Mieczkowski, dyrektor zarządzający w Fundacji Digital Poland wyliczył trzy ważne sprawy powodujące, że nie milknie dyskusja. – Ta regulacja jest ważna o tyle, że bez niej, jak komunikuje nam rząd, nie może odbyć się aukcja pasma pionierskiego dla sieci 5G. Polska jest jednym z nielicznych już krajów, które go nie udostępniły. Druga sprawa jest taka, że najnowsze zmiany w UKSC wprowadzają nowy byt operatora komunikacji strategicznej, który to byt może ingerować w wolny rynek. Mówimy też o wykluczeniu dostawców, którzy mogliby oferować produkty operatorom, co może mieć wpływ nie tylko na koszty operatorów, ale de facto na ceny, które płacimy za usługi na koniec dnia za usługi kupowane od operatorów – powiedział.

Skoro ustawa jest pilnie potrzebna, to dlaczego prace nad nią trwają tak długo? – Wydaje mi się, że to wynika z wysokiego poziomu złożoności problemu. Porównałbym to do problemu jaki mieliśmy na początku epoki przemysłowej, gdy trzeba było zagwarantować bezpieczeństwo obrotu. Nie można było bazować na pieniądzach opartych na kruszcu. Wymyślono banknot, czyli umowę papierową gwarantowaną przez państwo, lub bank, czy inne instytucje zaufania publicznego. Regulacje związane z bezpieczeństwem obrotu z wykorzystaniem pieniądza jako umowy społecznej nie przebiegały łatwo. Francja zdecydowała się na to jako pierwsza i doprowadziła do awarii całego systemu finansowego. Taka jest waga tej regulacji w wypadku naszej współczesności – powiedział Jarosław Tworóg, wiceprezes KIGEiT.

–  Przesuwamy się od gospodarki, którą chciałbym opisać jako węzłową, opartą na przede wszystkim dobrach materialnych w stronę gospodarki, której główna wartość dodana powstaje w sferze wirtualnej, a wzrost znaczenia wartości intelektualnych i prawnych, a zatem i danych jest tak szybki, że przekracza oczekiwania nawet tych, którzy od początku głosili, że będzie bardzo szybko zdominowana przez wartość danych. Jeśli sieć staje się miejscem zawierania transakcji, wszystkie regulacje, które dotyczą bezpieczeństwa obrotu w sferze wirtualnej muszą być bardzo istotne. Stąd duże ciśnienie na to, aby ustawa ta spełniała bardzo wiele różnych oczekiwań – mówił Tworóg.

Zdaniem prof. dr hab. Macieja Rogalskiego z Uczelni Łazarskiego problem wynikać może ze skomplikowania materii. – Wydaje mi się, że sytuacja jest z jednej strony wyjątkowo ciekawa, z drugiej szalenie skomplikowana. Ciekawa dlatego, że EKŁE (Europejski Kodeks Łączności Elektronicznej – red.) powinien być zaimplementowany do polskiego porządku prawnego 21 grudnia i to się nie wydarzyło. Z drugiej strony jest projekt PKE (Prawo Komunikacji Elektronicznej implementuje EKŁE – red.), zawierający kilka artykułów poświęconych bezpieczeństwu, z trzeciej mamy zmiany w ustawie o KSC. Ta ustawa relatywnie dawno istnieje, ale jeszcze nigdy w polskim porządku prawnym nie wprowadzono rozwiązań prawnych, które by dotyczyły dostawców infrastruktury telekomunikacyjnej. Aukcja, o której wspominaliśmy, nie będzie pierwszą i nie pierwszy raz zostanie wprowadzony nowy system. Poprzednia wprowadzała nowy system – LTE – i nie odnotowałem poważnych problemów w zakresie bezpieczeństwa, czy cyberbezpieczeństwa. Są to kwestie, które istnieją od zawsze. Jakoś to funkcjonowało. Nigdy wcześniej nikt nie zajmował się tym, od kogo operatorzy kupują komputery, wieże, stacje bazowe. Ostatnimi czasy, nie będę wnikał dlaczego, zainteresowano się tym i wprowadzono stosowne postanowienia. Pytanie, jak są skonstruowane te rozwiązania, bo muszą one spełniać szereg wymagań: od strony zgodności z podstawowymi zasadami prawnymi w prawie polskim, unijnym, umowami międzynarodowymi i myślą technologiczną oraz warunkami ekonomicznymi – mówił prof. Rogalski.

Czym najnowsza nowelizacja KSC różni się od poprzedniego projektu? – Jeśli chodzi o kwestie prawne, to przypomnę, że do pierwszej wersji nowelizacji UKSC z 7 września ub.r. zgłoszono 750 uwag. Naprawdę rzadko zdarza się w pracach nad aktami  prawnymi. Taka gigantyczna liczba uwag została zgłoszona nie bez powodu. Szereg zapisów było bowiem kontrowersyjnych. Część uwag została uwzględniona, ale obiektywnie oceniając, zostały one uwzględnione nie do końca z oczekiwaniami, ale i pewnymi zasadami. Pierwszy z brzegu przykład, to sprawa stosowania przepisów KPA. W tym samym zdaniu (gdzie wprowadza się stosowanie kodeksu – red.) mówi się o wyjątkach i jest ich naprawdę sporo. Mówi się o tym, że trzeba w pełni uzasadnić w zakresie dostawcy, że musi być rygor natychmiastowej wykonalności, że rozprawa przez WSA może odbywać się niejawnie, że sąd nie może wstrzymać wykonalności orzeczenia że strona nie będzie znała uzasadnienia wyroku. Nie chcę robić z tego spotkania seminarium prawniczego, ale chcę pokazać, że wprowadzone zmiany mogą generować  szereg problemów zgodności z przepisami prawa polskiego, czy europejskiego. Nie są to tylko oceny moje, czy innych prawników, ale zdążyło je też podnieść Rządowe Centrum Legislacji – mówił Rogalski.  Jak konstatował z opublikowanego niedawno projektu nie wyniknie nic dobrego.

Które uwagi do ustawy branży rząd uwzględnił?  Według Grzegorza Baczewskiego takich sytuacji było niewiele. Wyróżnił wśród nich możliwość odwołania się firmy wskazanej przez Kolegium ds. Cyberbezpieczeństwa za dostawcę wysokiego ryzyka do sądu. – Efekty wcześniejszych konsultacji uwzględnione zostały w niewielkim stopniu, a do ustawy dodano całkiem nowe przepisy, które nie były wcześniej konsultowane, ani też nie przedstawiono jakichkolwiek ich założeń. To m.in. przepisy dot. powołania operatora sieci komunikacji strategicznej, który na preferencyjnych warunkach wchodziłby na rynek obsługi instytucji publicznych otrzymując nieodpłatnie część częstotliwości do zagospodarowania. Można powiedzieć, że coś za co wszyscy uczestnicy rynku muszą płacić ogromne inwestycje, które zwracają się latami. Jednocześnie określa się, że podmiot ten przejmie jakąś część rynku, bo usługi dla instytucji publicznych świadczą podmioty komercyjne. Kontrowersyjne jest to, że nie ma jasnego uzasadnienia, ani nie było dyskusji, czy jest to realny wymóg poprawy warunków cyberbezpieczeństwa w Polsce. Można mieć tu wątpliwości, bazując chociażby na tym, jak te sprawy rozstrzygają inne kraje – mówił Baczewski.

Telekomunikacyjni przedsiębiorcy i izby ich zrzeszające uważają generalnie, że ich uwagi zostały zignorowane.   – Jeśli chodzi o uwagi zgłaszane przez ministerstwa – można było dostrzec merytoryczną dyskusję i wgłębianie się w uwagi. Jeśli zaś chodzi o uwagi ze strony środowiska telekomunikacyjnego, odpowiedź była jedna i przeklejana kilkanaście razy. Dyskusji merytorycznej nie było. Tymczasem środowisko proponowało konkretne rozwiązania. Z tego nie skorzystano – mówił prof. Rogalski.

Baczewski wyliczał, że Konfederacja bez skutku próbowała przekonać rząd do rezygnacji z kryteriów uznania dostawcy infrastruktury za ryzykownego. Jak mówił, są wśród nich zasady kontrowersyjne nie mające charakteru technicznego, a geograficzny i eliminują część dostawców, co może skutkować pogorszeniem warunków rozwoju biznesu i zwiększeniem cen. – Zwracaliśmy również uwagę na termin wymiany urządzeń. Postulujemy że powinno to trwać 10 lat, realnie zostawione jest 5. To kolejna nieuwzględniona uwaga – mówił.

Jakie postulaty mają obecni izby zrzeszające przedsiębiorców  z sektora telekomunikacyjnego i eksperci? Jak się wydaje główny postulat to przeniesienie rozmowy o operatorze narodowym (operatorze hurtowej sieci 5G i operatorze sieci komunikacji strategicznej dla agend państwowych) na inne forum.

– Jesteśmy w okresie ogromnej presji czasowej jeśli chodzi o uruchomienie aukcji pasma C. Na tle państw europejskich jesteśmy zapóźnieni. W tej sytuacji wrzutka do ustawy (o operatorze narodowym – red.) wydaje się działaniem nieodpowiedzialnym i kontrowersyjnym. W naszej ocenie powinniśmy wrócić do dyskusji nad projektem z września, a przepisy nowe trzeba natychmiast wyłączyć do nowego projektu i ewentualnie zacząć o tym rozmawiać, dodając analizę skutków regulacji – powiedział dyrektor z Konfederacji Lewiatan.

– Myślę, że największym problemem jest to, że po otrzymaniu uwag rząd przedstawił prawie nowy projekt KSC. To nie jest tylko opinia nasza, izb, czy innych stowarzyszeń, ale nawet instytucji takich jak RCL, czy MSWiA. – powiedział Mieczkowski.

Uczestnicy debaty „Rz” źle oceniali także rozszerzenie listy infrastruktury krytycznej o nowe elementy, takie jak nadajniki radiowe. – Sam rząd, czyli ministerstwo cyfryzacji w ramach konsultowanego nieobowiązkowego dokumentu, jakim jest 5G Toolbox zwróciło uwagę, że elementem krytycznym jest sieć rdzeniowa, a sieć radiowa nim nie jest. Tak jest też w mojej opinii. Uważają tak też służby specjalne, czy ratownicze innych państw. Świetnym przykładem jest to, co robią nasi sojusznicy – mówił Mieczkowski.

Zdaniem dyrektora zarządzającego Fundacji Digital Poland rząd wybrał nietypowy sposób budowy operatora sieci komunikacji strategicznej. Wskazał, że takie kraje jak Stany Zjednoczone, Wielka Brytania, Finlandia, czy Francja korzysta z usług operatorów komercyjnych. –  Żaden z naszych sojuszników nie wywraca całego stolika i mówi: to my sobie wybierzemy dostawców, na bazie kraju pochodzenia, a wszystkie usługi będzie świadczyło państwo, sieci komercyjne są nieważne, a wszystko to robimy pod płaszczykiem zapewnienia sieci na terenach wiejskich – powiedział Mieczkowski.

– Polski rząd powinien zorganizować przetarg na obsługę podmiotów publicznych, może być wydzielona częstotliwość, ale ważny jest pewien niuans. W niektórych państwach służby specjalne, mundurowe, mają wydzielone częstotliwości, ale jest to wąski zasób, obsługiwany przez operatora. Tutaj miałoby polegać na tym, że rządowy operator przejmie cały zakres częstotliwości, na tym zakresie w ramach umów hurtowych operatorzy infrastrukturalni mieliby działać jak wirtualni. To rodzi różne problemy techniczne – mówił Mieczkowski. Podkreślał, iż model budowy jednej hurtowej sieci komórkowej na świecie nie sprawdził się.

– Wszystkie sprawy, które poruszyli moi przedmówcy są bardzo ważne. To pokazuje jak dużo jest wad w tej regulacji – oceniał wiceprezes KIGEiT. Zaproponował inną perspektywę. – Mimo że ten akt jest bardzo ważny, to nie jest adresowany do rozwiązywania problemów rzeczywistych, czyli ustanowienia ram prawnych zawierania transakcji w przestrzeni wirtualnej przez podmioty, które chcą przejść do gospodarki sieciowej opartej na danych, w sposób bezpieczny. Tylko zajmuje się najmniej istotną kwestią, czyli eliminacją określonych dostawców chociaż dostawcy nie mogą być niebezpieczni. Najbardziej niebezpieczne jest oprogramowanie, a dopiero dużo później sprzęt – mówił Jarosław Tworóg.

– Cyberbezpieczeństwo nie jest najbardziej zagrożone w sektorze telekomunikacyjnym. Jest najważniejsze dla przemysłu, bo służy przedsiębiorcom do zawierania transakcji. Powinno zabezpieczać przedsiębiorstwa przy ich wchodzeniu do przemysłowych sieci produkcyjnych, do platform, w powiązania międzynarodowe w sposób bezpieczny, gdzie odbywają się transakcje na olbrzymią skalę. Zagrożenia pojawiają się w sieciach, ale na etapie ich zawierania. Tego ta ustawa nie adresuje, nie zajmuje się najbardziej istotnym interesariuszem, jakim są zakłady przemysłowe – zwracał uwagę wiceprezes KIGEiT.

Najbardziej nośną sprawą jest potencjalne uznanie za dostawcę wysokiego ryzyka i wykluczenie chińskiego koncernu Huawei z wyścigu o 5G w Polsce. Jakie mogą być konsekwencje dla Polski w takiej sytuacji?

– Konsekwencje mogą być gigantyczne – uważa prof. Rogalski. Jego zdaniem możliwy jest scenariusz, w którym wśród warunków rozdysponowania pasma C pojawia się zakaz korzystania ze sprzętów dostawcy wykluczonego. Ponieważ rząd wprowadził rygor natychmiastowej wykonalności decyzja nie może być wstrzymana przez sąd – operatorzy kupują sprzęt od innego dostawcy. Toczy się postępowanie sądowe. Wyrok po 5 latach mówi, że decyzja była wadliwa. – To oznacza, że musi być uchylona decyzja o rozdysponowaniu częstotliwości, o wykluczeniu dostawcy i trzeba przywrócić stan prawny sprzed aukcji – wyjaśnia prawnik.

Wyraził on przekonanie, że wykluczony dostawca będzie miał roszczenia wobec Skarbu Państwa. – W ostatnich miesiącach przed sądami polskimi toczył się spór o rozliczenia interkonektowe operatorów. Uchylona została decyzja prezesa UKE przez Sąd Najwyższy, który zwrócił się z zapytaniem do Trybunału Sprawiedliwości UE. Powstała kwestia rozliczeń i w grę wchodzą setki milionów złotych i zapewne rozliczenia te będą dokonywane. Powtórzę się, ale uważam, że warto przeprowadzić solidne konsultacje publiczne i dopracować akty prawne. A jeśli to trudne ze względu na czas, to niech aukcja odbędzie się na podstawie istniejących przepisów, a później niech zostaną uregulowane kwestie dot. bezpieczeństwa infrastruktury. Wydaje się, że można to zrobić, godząc interesy wszystkich – powiedział prof. Maciej Rogalski.